2020年11月25日，美国信息技术企业VMWare公司的安全团队发布了VMSA-2020-0026风险通告，公布了两个可能导致缓冲区溢出和权限提升的漏洞，编号分别是CVE-2020-4004和CVE-2020-4005，漏洞评分均为8.8分。利用上述漏洞，本地具有管理员权限的攻击者可以通过执行特制的二进制程序，造成虚拟环境逃逸，获得系统管理员权限并控制宿主主机/服务器。 VMWare ESXi是VMWare开放的服务器资源整合平台，可实现用较少的硬件集中管理多台服务器，并提升服务器性能和安全性，在全球范围内具有庞大的用户基数。目前，VMWare公司的安全团队已经发布了安全补丁，修复了该漏洞。正在使用上述受影响VMWare产品的用户可以通过官方渠道下载此次更新补丁：https://www.vmware.com/security/advisories/VMSA-2020-0026.html，或通过移除XHCI控制器临时避免相关漏洞的影响，官方操作手册如下：https://docs.vmware.com/en/VMwarevSphere/7.0/com.vmware.vsphere.vm_admin.doc/GUID-ACA30034-EC88-491B-8D8B-4E319611C308.html

本文来源：国家计算机病毒应急处理中心